เวลาเราเข้าเว็บธนาคาร ผู้ใช้มักถูกสอนให้มองหาใบรับรองแบบ EV (Extended Validation) ที่แสดงชื่อบริษัทเอาไว้หน้า URL โดยหน่วยงานใบรับรองจะต้องตรวจสอบชื่อบริษัทหรือหน่วยงานจากเอกสารรับรองของทางการในแต่ละประเทศ Ian Carroll นักวิจัยด้านความปลอดภัยแสดงให้เห็นว่าใบรับรองแบบ EV มีข้อจำกัดสำคัญที่คนสามารถขอใบรับรองที่ชื่อเหมือนกันได้ เพียงแค่ตั้งชื่อบริษัทให้เหมือนกันแต่อยู่คนละรัฐ โดยเขาสามารถขอใบรับรองของบริษัท Stripe บริษัทรับจ่ายเงินที่มีผู้ใช้จำนวนมากในสหรัฐฯ

เนื่องจากชื่อบริษัทอาจจะซ้ำกันข้ามประเทศได้ การแสดงใบรับรองแบบ EV จึงมักระบุประเทศเอาไว้ด้วย เช่น โครมก็จะระบุหน้า URL ว่า "Stripe, Inc [US]" เพื่อระบุว่าเป็นบริษัทในสหรัฐฯ แต่ในกรณีของสหรัฐฯ การจดทะเบียนบริษัทคนละรัฐสามารถจดทะเบียนชื่อเดียวกันได้ ทำให้ Ian สามารถขอตั้งบริษัทที่มีชื่อเหมือนบริษัทรับจ่ายเงินได้

กรณีนี้หน่วยงานออกใบรับอรงไม่ได้ทำอะไรผิดเพราะตรวจสอบข้อมูลครบถ้วนแล้ว และข้อมูลในฟิลด์ Subject ของใบรับรองก็ระบุข้อมูลไว้ค่อนข้างครบ

CN = stripe.ian.sh
OU = POSITIVE EV SSL
OU = SSL
O = Stripe, Inc
STREET = 212 N. 2nd St
STREET = STE 100
L = Richmond
ST = Kentucky
postalCode = 40475
C = US
businessCategory = Private Organization
jurisdictionStateOrProvinceName = Kentucky
jurisdictionCountryName = US
serialNumber = 1004132

แต่หน้าจอของเบราว์เซอร์ต่างๆ ไม่ได้เผื่อความเป็นไปได้เช่นนี้ไว้ดีพอ ที่หนักที่สุดคือ Safari ที่เมื่อพบใบรับรอง EV ก็กลับซ่อนตัวโดเมนไปทั้งหมด ทำให้ผู้ใช้อาจจะโดนหลอกได้ง่ายขึ้นไปอีก ขณะที่ข้อกำหนดของ CA/Browser Forum กำหนดให้ CA ต้องตรวจสอบการขอใบรับรองที่มีความเสี่ยงสูงแต่ไม่ได้ระบุไว้ชัดเจนว่าควรทำอย่างไร

ก่อนหน้านี้ Gervase Markham จาก Mozilla ก็เคยทดสอบจดทะเบียนบริษัทชื่อว่า "Identity Verified" เพื่อทดสอบการหลอกผู้ใช้ และรายงานประเด็นเดียวกันว่า Safari ไม่แสดงโดเมนเมื่อเจอใบรับรอง EV ทำให้ผู้ใช้ถูกหลอกได้ง่ายขึ้น

ที่มา - Stripe.ian.sh